defense.at Onlinemagazin

Brute Force Attack erfolgreich abwehren

Der beste Weg um eine Brute Force Attack abzuwehren ist oft gar nicht so einfach

Eine häufige Bedrohung für Webentwickler stellt die so genannte Brute Force Attack dar. Ziel solch einer Attacke ist es, systematisch alle möglichen Kombinationen eines Passworts durchzuprobieren. Dabei werden alle möglichen Folgen von Buchstaben, Zahlen und Sonderzeichen getestet, bis das korrekte Passwort gefunden wurde. Wenn Ihre Website eine Userauthentifizierung benutzt, ist sie ein gutes Ziel für solch eine Attacke. Ein Hacker kann theoretisch jedes Passwort erfolgreich bruteforcen, praktisch würde er allerdings für manche Passwörter Jahre brauchen, ehe er das richtige generiert. Die Erfolgschance hängt hierbei von der Komplexität und der Länge des Passworts ab. Um das Erfolgserlebnis für den Hacker zu beschleunigen, bedient er sich oft Wörterbüchern (oder entsprechend modifizierten Versionen davon), da statistisch gesehen, die meisten Menschen ein relativ einfaches Passwort verwenden und kein zufällig (komplex) generiertes. Solch eine Attacke wird dann entweder als Dictionary - Attack („Wörterbuch - Attacke“) oder Hybrid-Brute-Force - Attack bezeichnet. Websites werden so dem Risiko vor Accountdiebstahl und hohem Traffic (DoS) ausgesetzt.weiterlesen...

Sicherheitskonzept - ganzheitlich betrachtet

Die Hintergründe von einem ganzheitlichen Sicherheitskonzept. Eine neue Betrachtungsweise.

Zur Rechnerseitigen Sicherheit (Firewalls, Virenscanner, IDS) gibt es eine Unzahl an Dokumenten. Diese lassen aber ausser Acht, dass neben der reinen Softwaresicht auch andere Faktoren wesentlich sind. Es entsteht damit eine gefährliche Situation in der Serverbetreiber glauben dass durch den Kauf einer Firewall jede Gefahr gebannt ist. Tatsächlich jedoch ist mehr als bloße Soft/Hardware erforderlich um ein vernünftiges Sicherheitskonzept zu erhalten. Konzepte zum ganzheitlichen Sicherheitskonzept machen es sich teilweise recht einfach indem sie voraussetzen dass sich jeder Prozess und jede Firma dieser neuen Sicherheit unterordnen. In der Realität haben aber Unternehmen bereits vorhandene IT und auch nicht änderbare Prozesse. Daher muss ich jedes Sicherheitskonzept auch an bereits vorhandene Strukturen anpassen und kann diese nicht grundlos auflösen. Auch die Erwartung, dass unbegrenzte Mittel für die Sicherheit zur Verfügung stehen ist blauäugig. Erst nach einem schweren Vorfall wird es ausreichende Mittel für Sicherheitsmaßnahmen geben.weiterlesen...

Paper, pki Risiken und Zertifikate

security paper über die pki Risiken und zertifikate

Wir haben verschiedenste Verschlüsselungsmechanismen, mit denen wir Daten verschlüsseln können. Doch wer garantiert uns, dass unser Gegenüber immer der ist, als der er sich auszugeben pflegt. Die einzige wirkliche Möglichkeit ein Netzwerk aufzubauen, in dem man diesem Problem halbwegs sicher entgegentreten kann ist eine vollständige PKI (Public Key Infrastructure). PKI ist ein Framework, um folgende Zielsetzungen bezüglich der Sicherheit aller internen und externen Kommunikationen/Transaktionen zu gewährleisten: - Privacy (Geheimhaltung) ............................Verschlüsselung der Daten gegenüber Dritte - Integrity (Datenintegrität)...........................Sicherstellung, dass die Daten z.b. während der Übertragung nicht verändert wurden - Authentication (Authentifikation)..................Sicherstellung, dass dein Gegenüber auch wirklich der ist, als der er sich ausgibt - Datenschutz..............................................Schutz der Daten gegenüber Dritteweiterlesen...

Radius Server Authentifizierung

Security-Paper über das Radius Protokoll (Protocol), den response authenticator und die Authentifizierung am Radius Server allgemein

Viele fragen sich vielleicht, was Leute meinen, wenn irgendwo erklärt wird "...und die Authentifizierung wird per Radius - Server abgewickelt...". Nun ja, dahinter steckt der Radius - Dienst / das Radius - Protokoll, welches ich hier näher erläutern will. Problemstellung Beim Remote Access eines Users in ein gesichertes Netzwerk ist die eindeutige Authentifizierung ein großes Problem. Um einen flexiblen Remotezugriff über verschiedene NAS (= Network Access Server) zu ermöglichen, kann somit ein zentraler Authentifizierungsserver verwendet werden. Um die Einwahl durchführen zu können, muss eine Kommunikation zwischen dem Client, dem Einwahlknoten und dem Authentifizierungsserver bestehen. Dies ist erforderlich, um Informationen, wie z.B. Benutzernamen auszutauschen. Diese Kommunikation wird über das Radius – Protokoll abgewickelt.weiterlesen...

Lizenzierung - Erwerb einer Lizenz

Mit Lizenzierung ist der Erwerb einer Lizenz gemeint, das heißt die formale Berechtigung etwas zu tun, was andernfalls verboten wäre

Eine Lizenz ist eine formale Berechtigung etwas zu tun, was unter anderen Umständen rechtswidrig wäre. Lizenzen unterliegen dem Vertragsrecht, das vom Begriff der Vertragsfreiheit ausgeht. Das bedeutet, dass es den Vertragsparteien freisteht, die Nutzungsbedingungen urheberrechtlich geschützter Materialien auszuhandeln und sogar auf Rechte, die ihnen das Urheberrechtgewährt, zu verzichten. Die Verantwortung über die korrekte Nutzung der Software im Snne des Urheberrechts liegt beim Benutzer bzw. bei dessen Vorgesetzten. Es gibt zwei Lizenztypen: die kommerziellen Lizenzen und die Open-Source Lizenzen. Obowhl kommerziell und Open-Source nicht unbedingte Gegensätze sind, wurde trotzdem in diese zwei Kategorien klassifiziert. weiterlesen...